标签：java jsp iframe code-injection clickjacking

我们如何在Java应用程序中阻止帧注入？

就像在渗透测试中一样,
发现如果黑客起草了一个演示html页面,
在那个页面中,他使用了iframe,
它具有工作应用程序的URL,
他/她可以通过该URL /请求(在iframe中创建)查看数据.

假设这是黑客文件test.html：

<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Strict//EN\"   \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\">

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Insert title here</title>
</head><body>
<iframe id="inner" src="http://hostname:8080/Application_Name/ABC/DEF/SomePage.jsp?ABC=QWERTYL&XYZ=1&CDE=24" width="600" height="400" scrolling="yes">

</iframe>
</body>
</html>

现在,黑客能够检索应用程序中的数据.怎么阻止这个？

解决方法:

这是点击攻击：https://www.owasp.org/index.php/Clickjacking
防止它的最简单方法是添加标题“X-Frame-Options”,其值为“DENY”.这可以使用filter完成.在web.xml中注册并使用如下代码：

@Override
public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException,
            ServletException {
    HttpServletResponse response = (HttpServletResponse) resp;
    response.addHeader("X-Frame-Options", "DENY");    
    chain.doFilter(req, resp);
} 

所有现代浏览器都支持此标题,但为了保护使用旧版浏览器的用户,您还需要在UI中使用防御性javascript.更多细节：https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

标签：java,jsp,iframe,code-injection,clickjacking
来源： https://codeday.me/bug/20190609/1205087.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。